GitHub enquête sur une série d'attaques dans lesquelles des attaquants ont réussi à exploiter de la crypto-monnaie sur l'infrastructure cloud de GitHub en utilisant le mécanisme GitHub Actions pour exécuter leur code. Les premières tentatives d'utilisation de GitHub Actions pour le minage remontent à novembre de l'année dernière.
GitHub Actions permet aux développeurs de code d'attacher des gestionnaires pour automatiser diverses opérations dans GitHub. Par exemple, en utilisant GitHub Actions, vous pouvez effectuer certaines vérifications et tests lors de la validation, ou automatiser le traitement des nouveaux problèmes. Pour démarrer le minage, les attaquants créent un fork du référentiel qui utilise GitHub Actions, ajoutent une nouvelle GitHub Actions à leur copie et envoient une pull request au référentiel d'origine proposant de remplacer les gestionnaires GitHub Actions existants par le nouveau « .github/workflows ». /ci.yml ».
La demande d'extraction malveillante génère plusieurs tentatives d'exécution du gestionnaire d'actions GitHub spécifié par l'attaquant, qui après 72 heures est interrompu en raison d'un délai d'attente, échoue, puis s'exécute à nouveau. Pour attaquer, un attaquant n'a qu'à créer une pull request - le gestionnaire s'exécute automatiquement sans aucune confirmation ni participation des responsables du référentiel d'origine, qui peuvent uniquement remplacer les activités suspectes et arrêter l'exécution des actions GitHub déjà en cours.
Dans le gestionnaire ci.yml ajouté par les attaquants, le paramètre « run » contient du code obscurci (eval « $(echo 'YXB0IHVwZGF0ZSAt…' | base64 -d »), qui, une fois exécuté, tente de télécharger et d'exécuter le programme de minage. Dans les premières variantes de l'attaque à partir de différents référentiels, un programme appelé npm.exe a été téléchargé sur GitHub et GitLab et compilé dans un fichier ELF exécutable pour Alpine Linux (utilisé dans les images Docker.) Les nouvelles formes d'attaque téléchargent le code d'un XMRig générique. mineur du référentiel officiel du projet, qui est ensuite construit avec un portefeuille de substitution d'adresse et des serveurs pour l'envoi de données.
Source: opennet.ru